Thunderblot等多款HTC手机传安全漏洞

OakHJH 2011-10-04

安全研究人员表示,数款HTC Android手机包括Evo 3D、Evo 4G以及Thunderbolt内含安全漏洞,可能导致其他可自动进行网路连线的应用程式读取包括简讯、所在地资讯、电子邮件以及电话号码等个人资料。

包括Artem Russakovskii、Justin Case以及Trevor Eckhart在内的三名安全研究人员发现HTC在最近的一次软体更新中,内含安全漏洞的logging tool会伴随着软体更新被安装于用户手机中。

Thunderblot等多款HTC手机传安全漏洞

HTC Thunderbolt

Russakovskii表示,logging tool通常被用来遥控分析装置上的问题。目前他们所发现到的情况是受到影响的手机中,只要里面安装有可以连线到android.permission.INTERNET的应用程式,就可以取得下列资料:

用户帐号,包括电子邮件等

最后使用的网路以及卫星定位位置,或是近期的所在地点记录

电话号码

SMS资料: 包括电话号码以及加密文字(不确定是否可以被解码,但可能性相当大)

系统登入(包括kernel/dmesg与app/logcat),当中包含所有用户在使用的应用程式以及电子邮件、电话号码还有个人资料。

目前唯一解决的方法就是等待HTC的修补程式或是对手机进行破解以移除logging tool,他也提醒手机用户要特别小心以免下载可疑应用程式。

Russakovskii表示他在9月24日便向HTC反应这个安全漏洞的问题,在经过5个工作天仍未得到HTC的回应后,他决定向大众公开这个问题。截至目前为止,HTC仍在研究解决方案,不过尚未获得来自HTC的任何声明。

了解,受影响的型号还包括Evo Shift 4G、MyTouch 4G Slide、即将推出的Vigor以及部分Sensations。

 

相关推荐